# AN1083 — Analytic 1083 ## Descrição Este analítico detecta a execução de BusyBox ou shell Ash a partir de logins não autorizados ou conexões remotas em hosts VMware ESXi. O foco é em invocações raras de shell via DCUI, sessões SSH ou caminhos de gerenciamento remoto, além de droppers de payload ou artefatos de persistência usando shell. Utiliza telemetria de logs do ESXi Shell, eventos de autenticação SSH e análise de linhagem de processos do hipervisor. A detecção é crítica porque o ESXi Shell é frequentemente desativado por padrão, tornando qualquer ativação e uso suspeito por natureza, especialmente em ataques direcionados a infraestrutura de virtualização. **Plataformas:** ESXi --- ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] --- *Fonte: [MITRE ATT&CK — AN1083](https://attack.mitre.org/detectionstrategies/DET0384#AN1083)*